Compliance ist gut, Kontrolle noch besser

Feature | 5. März 2008 von admin 0

Im Gespräch mit SAP INFO erläutert Henry, wie sich Kontrollen in die Unternehmenskultur integrieren lassen, etwa bei der Zusammenarbeit mit Outsourcing-Partnern.

Sie empfehlen Unternehmen, sich mehr um Kontrolle statt um Compliance zu kümmern. Was meinen Sie damit?

Henry: Ich glaube, dass Compliance das logische Ergebnis eines guten Kontrollsystems ist. Dieser Denkansatz stellt Compliance-Aspekte zunächst hinten an und rückt grundlegende Rahmenbedingungen der Unternehmensführung in den Vordergrund. Dazu gehören Datenverwaltung, Identitäts- und Zugriffsverwaltung sowie Risikomanagement.
Unternehmen müssen sich zunächst einmal einige Fragen stellen.

Welche Voraussetzungen müssen erfüllt sein, damit wir das, was wir tun müssen und wollen, auch wirklich tun können? Und wie lassen sich Risiken am besten bewältigen? Die Antworten auf diese Fragen können zu Verbesserungen in vielen Geschäftsbereichen führen, auch im Hinblick auf Compliance.

Viele der Antworten muss die Unternehmensleitung finden. Es liegt an ihr, branchen- und länderspezifische Vorschriften einzuhalten, etwa den amerikanischen Sarbanes-Oxley Act (SOX) oder die EU-Eigenkapitalvorschriften Basel II.

Aber damit ist es nicht getan. Kontrollrichtlinien zeigen dann die beste Wirkung, wenn sie als Arbeitsanweisungen für jeden Angestellten relevant sind und Teil der Unternehmenskultur werden. Im Grunde gilt es, systematische Kontrollen im gesamten Unternehmen zu installieren.

Wie können Unternehmen Kontrollsysteme stärker in ihrer Belegschaft verankern?

Henry: Schulung und Weiterbildung können das Bewusstsein schaffen, wie bedeutsam Kontrollen sind. Sie sollten als Beitrag zu einem gut geführten und effizienten Unternehmen betrachtet werden. Mitarbeiter, die dieses Verständnis haben, sehen Kontrollen als festen Bestandteil ihres Arbeitsalltags und nicht als zusätzliche Aufgabe, die nur im Rahmen eines Audits wichtig ist.

Die Mitarbeiter sollten Offenheit gegenüber Kontrollen zeigen, denn schließlich wird von der Belegschaft Integrität erwartet. Mitarbeiter aus der Konstruktion oder Fertigung dürfen zum Beispiel keine Details über neue Produktpläne an frühere Kollegen schicken, die zu Konkurrenzunternehmen gewechselt sind. Ebenso müssen Mitarbeiter mit Zugriff auf Gehaltsdaten die Datenschutzrichtlinien einhalten und die Informationen vertraulich behandelt.

Kontrollen sollten so stark in den Arbeitsalltag integriert sein, dass Lagerverwalter, Konstrukteure, Sachbearbeiter, Manager, Produktionsmitarbeiter, Buchhalter und alle anderen Mitarbeiter die Anforderungen genau kennen. Sie können dann ganz einfach sagen: “Das gehört zu meinem Job.” Bei Finanzdienstleistern ist beispielsweise ein Mechanismus wie die Funktionstrennung eine angemessene Kontrolle im Tagesgeschäft der Mitarbeiter.

Muss sich dafür die Unternehmenskultur ändern?

Henry: Ja, vor allem bei Unternehmen mit einer laxen Einstellung, die nach dem Motto verfahren: “Die Aufgabe erledigen, egal wie.” Für diese Unternehmen sind Kontrollsysteme und Rechenschaftspflicht zunächst meist eine große Last. Sie können gleichzeitig aber auch großen Schaden abwenden, zum Beispiel Geldbußen, Gefängnisstrafen für die Führungsriege, Prestigeverlust und sogar einen Zusammenbruch des Unternehmens wie beim Enron-Skandal. Zusätzliche Kontrollen würde ich damit begründen, dass das Unternehmen seiner Belegschaft und seinen Aktionären verpflichtet ist: Es muss Arbeitsplätze sichern, effizient arbeiten und Gewinne abwerfen.

Falls die Mitarbeiter trotzdem gegen Kontrollen Widerstand leisten, muss das Unternehmen sie eben ziehen lassen und neues Personal einstellen.

Es geht also nicht nur um technologische Aspekte?

Henry: Es geht um weit mehr als Technologie, die für Infrastrukturmanagement und Datenkontrolle nötig ist. Wir sprechen hier von guten Geschäftspraktiken, von Risiko- und Sicherheitsmanagement. Es geht zum Beispiel auch um Zugangskontrollen zu Firmengebäuden und das Aufräumen des Arbeitsplatzes, damit keine sensiblen Unterlagen verschwinden. Etwa 50 Prozent der benötigten Kontrollen haben nichts mit Technologie zu tun.

Natürlich müssen Unternehmen einen Mittelweg finden. Einerseits gilt es, die Kreativität der Mitarbeiter zu fördern. Andererseits muss es aber auch klar dokumentierte Anweisungen geben, die zum Beispiel festlegen, wer Finanzdaten in der Hauptbuchhaltung einsehen darf und wer nicht.

Hier geht es im weitesten Sinne um Verantwortungsbewusstsein. Wenn Mitarbeiter wissen, dass ihr Beitrag zählt und sie für ihren Teil der Arbeit verantwortlich sind, dann können sie frische Ideen und Vorschläge einbringen, mit Elan neue Produkte entwickeln und den Erfolg des Unternehmens entscheidend beeinflussen. Und all das innerhalb der geltenden Grenzen, die durch Qualitäts-, Sicherheits- und Compliance-Standards vorgegeben sind.

Andere Länder, andere Vorschriften – vor welchen Herausforderungen stehen international tätige Unternehmen in Punkto Kontrolle und Compliance?

Henry: Es versteht sich von selbst, dass globale Unternehmen die Vorschriften und Compliance-Aspekte der Länder berücksichtigen müssen, in denen sie tätig sind. Das gehört zur globalen Geschäftstätigkeit.

Zusätzlich muss sich das Unternehmen im Zuge der Expansion möglicherweise auch auf externe Dienstleister oder Outsourcing-Partner an neuen Standorten einstellen, die sich an die vertraglich vereinbarten Leistungen halten sollen. Dafür müssen Mitarbeiter, die eine andere Sprache und Kultur als die Auftraggeber haben, die Bedingungen des Vertrags begreifen und akzeptieren.

Die Verträge müssen Servicevereinbarungen, so genannte Service Level Agreements, enthalten. Sie schreiben verpflichtende Eckpunkte der Serviceleistung fest. Außerdem werden Prioritäten, Zuständigkeiten und Garantien sowie Strafen bei Vertragsverletzung aufgeführt.

Unternehmen sollten vertraglich sicherstellen, dass Kontrollsysteme eingeführt werden, regelmäßige Prüfungen stattfinden und die angemessenen Reaktionen auf Ereignisse klar definiert sind. Im Vertrag kann beispielsweise festgelegt werden, dass der Outsourcing-Dienstleister innerhalb einer bestimmten Zeitspanne über eine Datenschutzverletzung zu informieren hat. Es ist keinesfalls im Interesse des Auftraggebers, dass eine solche Datenschutzverletzung unter den Teppich gekehrt wird. Vielmehr ist eine möglichst offene Kommunikation notwendig, um den Verstoß vollständig aufzuarbeiten.

Wie sieht gute Outsourcing-Praxis aus?

Henry: Indien ist ein Land, in das viele nordamerikanische Unternehmen Teile ihrer Geschäftstätigkeit ausgelagert haben. Um den nordamerikanischen Erwartungen gerecht zu werden, haben die indischen Dienstleister ihre Abläufe angepasst.

Amerikaner haben zum Beispiel eine Vorliebe für klare, ausführliche Vereinbarungen und nehmen Leistungszusagen sehr ernst. Die führenden Dienstleister Indiens haben ihr Angebot auf diese Erwartungen ausgerichtet und damit einen Wettbewerbsvorteil erzielt.

Was entgegnen Sie Kritikern, die in der zunehmenden Regulierung Nachteile sehen?

Henry: Als Sicherheitsexperte bin ich darum besorgt, dass ein externer Dienstleister auch wirklich das tut, was er zugesagt hat. Es stimmt zwar, dass die Kosten des Outsourcing steigen, wenn die Dienstleister sich vertraglich verpflichten, bestimmten Erwartungen zu entsprechen.

Aber letzten Endes geht es doch vor allem darum, Risiken klein zu halten.
Letztendlich muss sich ein Unternehmen fragen, wie viel ihm sein Geschäft wert ist und welches Risiko es eingehen will. Diese Fragen zu klären und vernünftige Kontrollen zu installieren, gehört für mich schlicht und einfach zu gutem Geschäftsgebaren.

Leave a Reply